Cyberthreat.id - Cisco memperingatkan adanya kelemahan zero-day baru di IOS XE yang telah secara aktif dieksploitasi oleh hacker yang tidak dikenal. Aktivitasnya adalah menyebarkan implan berbahaya berbasis Lua pada perangkat yang rentan.

Dilacak sebagai CVE-2023-20273 (skor CVSS: 7.2), masalah ini berkaitan dengan kelemahan eskalasi hak istimewa di fitur UI web dan dikatakan telah digunakan bersama CVE-2023-20198 (skor CVSS: 10.0) sebagai bagian dari rantai eksploitasi.

“Penyerang pertama kali mengeksploitasi CVE-2023-20198 untuk mendapatkan akses awal dan mengeluarkan perintah hak istimewa 15 untuk membuat kombinasi pengguna dan kata sandi lokal,” kata Cisco dalam peringatan terbaru yang diterbitkan Jumat lalu, sebagaimana ditulis The Hacker News.

"Ini memungkinkan pengguna untuk masuk dengan akses pengguna normal."

“Penyerang kemudian mengeksploitasi komponen lain dari fitur UI web, memanfaatkan pengguna lokal baru untuk meningkatkan hak istimewa untuk melakukan root dan menulis implan ke sistem file,” sebuah kelemahan yang telah ditetapkan pada pengenal CVE-2023-20273.

Juru bicara Cisco mengatakan kepada The Hacker News bahwa perbaikan yang mencakup kedua kerentanan tersebut telah diidentifikasi dan akan tersedia bagi pelanggan mulai 22 Oktober 2023.

Untuk sementara, disarankan menonaktifkan fitur server HTTP.

Meskipun Cisco sebelumnya telah menyebutkan bahwa kelemahan keamanan yang sekarang telah ditambal pada perangkat lunak yang sama (CVE-2021-1435) telah dieksploitasi untuk memasang backdoor, perusahaan menilai kerentanan tersebut tidak lagi terkait dengan aktivitas tersebut mengingat penemuan tersebut. zero-day yang baru.

“Aktor jarak jauh yang tidak diautentikasi dapat mengeksploitasi kerentanan ini untuk mengambil kendali sistem yang terkena dampaknya,” kata Badan Keamanan Siber dan Infrastruktur AS (CISA).

“Secara khusus, kerentanan ini memungkinkan aktor untuk membuat akun istimewa yang memberikan kontrol penuh atas perangkat.”

Eksploitasi bug yang berhasil dapat memungkinkan penyerang mendapatkan akses jarak jauh tanpa batas ke router dan switch, memantau lalu lintas jaringan, menyuntikkan dan mengarahkan lalu lintas jaringan, dan menggunakannya sebagai landasan tetap ke jaringan karena kurangnya solusi perlindungan untuk perangkat ini.

Perkembangan ini terjadi karena lebih dari 41.000 perangkat Cisco yang menjalankan perangkat lunak IOS XE yang rentan diperkirakan telah disusupi oleh pelaku ancaman menggunakan dua kelemahan keamanan, berdasarkan data dari Censys dan LeakIX.

“Pada 19 Oktober, jumlah perangkat Cisco yang disusupi telah berkurang menjadi 36.541,” kata perusahaan manajemen permukaan serangan tersebut.

“Sasaran utama dari kerentanan ini bukanlah perusahaan besar, melainkan entitas dan individu yang lebih kecil.”[]